Vulnerabilidades de ativos de terceiros

*Este conteúdo é traduzido por IA (Beta) e pode conter erros. Para ver a página em inglês, clique aqui.

Ativos de terceiros da Loja do Criador (Toolbox) são uma fonte comum de riscos de segurança, pois podem conter scripts maliciosos chamados de backdoors. Esses scripts dão aos seus criadores acesso não autorizado ao lado do servidor da sua experiência, permitindo que eles manipulem seu estado, roubem dados sensíveis ou interrompam a experiência para os seus jogadores.

Backdoors são particularmente perigosos porque frequentemente aparecem em modelos que parecem legítimos. Um prédio ou veículo aparentemente inocente pode conter um script que se ativa quando certas condições são atendidas, como quando um jogador específico entra ou um comando particular é executado. Quando um modelo contém scripts, isso é indicado na interface do usuário da Toolbox antes e durante a inserção.

Roblox modera Modelos para scripts maliciosos tanto proativamente quanto em resposta a relatórios, mas esse processo não garante a remoção de todos esses scripts.

Protegendo seu jogo

A defesa mais eficaz contra backdoors é o sandboxing. Quando você insere um modelo, deve conter seus scripts para impedir que código malicioso alcance APIs sensíveis ou afete sistemas fora do próprio modelo.

  1. Defina SandboxedInstance como Experimental em Workspace.
  2. Na janela de Propriedades, defina a propriedade Sandboxed do modelo como true.
  3. Configure a propriedade Capabilities para conceder apenas as permissões específicas que o ativo precisa para funcionar.

Tenha especial cuidado ao conceder capacidades de Network, DataStore, AssetRequire, CapabilityControl ou LoadString a ativos de terceiros, a menos que você entenda exatamente por que o ativo precisa delas. Essas capacidades fornecem acesso a sistemas poderosos que os backdoors costumam explorar.

Antes de usar qualquer ativo, inspecione cuidadosamente seus scripts. Preste atenção especial a códigos ofuscados ou incomumente complexos. Atores maliciosos frequentemente usam técnicas enganosas para esconder conteúdo prejudicial, como utilizar espaços em branco para posicionar código malicioso fora da tela quando visualizado no editor de estúdio. Considere favorecer ativos da comunidade altamente avaliados que foram verificados por outros desenvolvedores, embora lembre-se de que popularidade não garante segurança. Para orientações abrangentes sobre como configurar restrições de scripts, consulte Script Capabilities.

©2026 Roblox Corporation, Roblox, o logotipo Roblox e Powering Imagination estão entre nossas marcas registradas e não registradas nos EUA e em outros países.